随着数字时代的快速发展,数据已成为推动社会进步和经济增长的关键资产。英国政府在2025年6月正式颁布实施了数据使用与访问法案(Data Use and Access Act 2025,简称DUAA),对此前的英国通用数据保护条例(UK GDPR)和相关法律进行了重要的修订和更新。此举不仅反映了政府推动数字创新和促进经济发展的政策导向,也旨在为用户数据保护提供更加灵活高效的法规环境。本文将从多个角度深度剖析DUAA对UK GDPR的具体影响及其带来的机遇与挑战,帮助组织和公众更好地理解并应对这一重要法规变革。 DUAA对现行UK GDPR及相关法规的改动主要体现在完善合规框架、简化操作流程以及扩大合法使用场景等方面。首先,虽然DUAA并未取代UK GDPR和《2018年数据保护法》等核心法规,但对部分条款作出了细化和修正,尤其是针对科学研究、自动化决策、Cookie使用、数据共享及儿童在线服务等热点领域。
通过这些调整,DUAA力求在保护个人隐私权的同时,减少企业在合规上的行政负担,促进信息的合理流通和创新发展。 其中,科研数据的使用规范是DUAA的一大亮点。该法明确允许数据主体针对广泛的科研领域给予“广泛同意”,这为商业和非商业科学研究提供了更大的操作空间。同时,若企业或研究机构面临向用户发送隐私通知时付出不成比例的成本,可以通过在网站公示的方式代替个别通知,有效简化流程而仍然保护用户权利。这一规定突破了传统隐私通知的局限,极大便利了医疗、生物技术和人工智能等高科技领域的研发活动。 在自动化决策方面,DUAA显著放宽了合法依据的范围,允许组织基于多种“法律依据”开展重大自动判断,条件是需确保数据安全和适当的保护措施仍然到位。
尤其引人关注的是,合法利益可以被用作自动决策处理特殊类别数据以外的个人信息的依据。此举为企业应用人工智能和机器学习等技术提供了更加明确且灵活的法律支持。同时,该法还为自动化处理设定了具体的透明度和安全性要求,以降低潜在的歧视风险和误判情况。 关于Cookie管理,DUAA调整了多项规定,允许部分功能性Cookie和统计用途的Cookie在无需用户明确同意的情况下使用。这为网站运营者在提升用户体验的同时减少繁琐的授权流程带来了便利,有助于实现数据驱动的产品优化和客户行为分析。此外,DUAA还在企业进行跨境数据传输方面,重新梳理了兼容性测试要求,降低了国际合作中的合规障碍。
为保障社会公共安全和推动公共利益,DUAA引入了“认可的合法利益”原则,免除了组织在特定情况下对个人利益与社会利益的权衡义务。例如,在涉及国家安全、执法机构合作等领域,数据提供者可以不必对接收方的公共职能资格进行繁复审查,增强了信息共享的时效性与准确性。同时,针对公益机构,法案允许慈善组织在未获显式同意的前提下,依据“软选择退出”原则向支持者发送电子营销信息,有效拓宽了沟通渠道。 另外,DUAA对个人访问权也做出了合理调整,重点强调组织在回应个人信息访问请求时应采取合理且比例适当的搜索措施,避免过度资源消耗。在儿童网络服务方面,法案首次明确规定服务提供商必须将儿童的特殊需求纳入数据使用决策流程,强调了“年龄适宜设计”原则的重要性。这一规定无疑加强了未成年用户的隐私保护,也倒逼技术提供者和运营方优化产品设计。
除了实质性法规调整,DUAA还对信息专员办公室(ICO)的职责和结构进行了改革。新法赋予ICO更多的调查权力和透明度要求,确保该监管机构能够更加高效、公正地履行保护数据主体权益和推动合规的使命。ICO计划逐步推出针对教育技术和人工智能领域的实践准则,以满足快速变化的技术环境对监管的需求。 对于企业和组织来说,适应DUAA带来的变化不仅是合规要求,更是提升竞争力和实现数字转型的重要契机。提前熟悉法案内容、评估新法规可能影响的业务场景、调整内部数据处理流程以及完善用户投诉处理机制,是当前亟需采取的关键举措。此外,积极关注ICO发布的后续指导文件和培训资源,也有助于企业准确理解新规细节,避免因误判法规而导致的法律风险。
总体而言,DUAA代表了英国在全球数据保护领域迈出的重要一步。它体现了在保持高标准隐私保护前提下,灵活支持创新和经济发展的政策智慧。适时把握法规机遇,合理运用赋予的新权利与工具,既能帮助组织提升运营效率,也能在激烈的国际竞争中占据有利位置。随着该法案在2025年至2026年间逐步生效,企业、政府机构及广大公众都需密切关注其后续实施效果和相关实践,积极调整应对,共同促进数据治理生态的健康发展。
